一种基于光纤通信的双单向隔离交换方法技术

本发明专利技术公开了基于光纤通信的双单向隔离交换方法和系统，源主机和目的主机可经由隔离设备完成原链路的正向通信和反向链路的反向通信。正向通信的数据传输过程为：源主机→隔离设备的原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→隔离设备的原链路接收代理模块→目的主机。反向通信的数据传输过程为：目的主机→隔离设备的原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→隔离设备原链路的发送代理模块→源主机。系统采用“4+2”架构，两个链路均为单向性，互不干扰，安全性能好，收发单元使用单纤+信号模拟技术使得光纤卡之间即使一根光纤也可处于Linked模式。

【技术实现步骤摘要】
一种基于光纤通信的双单向隔离交换方法
本专利技术属于数字信息的传输
，涉及保密或安全通信装置，具体为一种基于光纤通信的双单向隔离交换方法。
技术介绍
随着信息化技术的发展，各国军事、经济等要害部门之间的数据交换越来越频繁。为此需要按照不同的保密级别将网络划分为不同的网络安全域。鉴于不同的网络安全域之间有不同的安全防护和保密要求，由此诞生了隔离网闸和单向光闸等网络隔离交换产品。按照涉密信息系统的保密要求，高密级网络信息不能流向低密级网络，但低密级网络信息可以流向高密级网络，通常使用单向光闸即能够满足此种场景的要求。但现实场景中，更多的应用需要进行双向数据交换并能够提供安全防护能力。目前能满足这种需求的技术主要是利用防火墙和隔离网闸。防火墙属于在TCP/IP协议栈基础上的基于安全策略的访问控制，这种基于软件的逻辑隔离是不可靠的，很容易被黑客突破或被内部用户操控。隔离网闸是一种中间采用私有协议的数据交换设备，能够中断TCP/IP等标准协议的通信，抵御基于标准协议的攻击。但隔离网闸的链路具有允许信息双向流动的特性，不具备单向传输设备的单向物理隔离特性，仍然属于双向逻辑隔离方案，存在创建隐蔽通道的可能性。目前的一些商业的单向光闸类产品的重点在于维护信息的保密性，即高密级网络信息不能流向低密级网络，而对安全性考虑的不够。实践中，有大量的军事装备、工业厂房设备和基础设施等系统中有许多采集数据、报警信息、设备运行状态等数据需要传输到相应的管控中心进行监控决策，而且这些前端设备、网络和设施又绝对不允许遭受病毒、木马等的恶意攻击。针对这些特定的应用场景，客观上要求采取有针对性的产品设计。何况市场上的部分单向光闸商业产品，由于中间通道采用了通用UDP协议作为标准协议，导致无法满足安全的保密性要求。针对上述问题，有厂商提出了双单向网闸的概念，其原理是把2台单向设备整合在一起，其中的两条单向链路并行，但方向相反。但此类双单向网闸无法满足类似TCP应用的部分双向应用的需求。
技术实现思路
本专利技术针对现有双单向数据交换存在的问题，提出了采用两条独立单向光纤通信方式的双单向隔离交换方法。为实现上述目的，本专利技术采用的技术方案为基于光纤通信的双单向隔离交换方法和系统，其特点是源主机和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信。隔离设备包括原链路发送代理模块、原链路单向发送单元、原链路单向接收单元、原链路接收代理模块、反向链路的发送代理模块、反向链路的单向发送单元、反向链路的接收单元、反向链路的接收代理模块。上述正向通信的数据传输过程为：源主机→原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→原链路接收代理模块→目的主机。上述反向通信的数据传输过程为：目的主机→原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→原链路的发送代理模块→源主机。具体而言，上述正向通信又包含以下步骤：S1：源主机经过认证并通过后，向隔离设备的原链路发送代理模块发起连接请求；S2：原链路发送代理模块收到连接请求后向源主机发送响应报文，经过确认后建立连接；S3：源主机的应用程序开始发送数据给原链路发送代理模块；S4：原链路发送代理模块对接收到的数据进行合法性验证后提交给原链路单向发送单元；S5：该原链路单向发送单元通过单向链路将数据发送出去；S6：原链路单向接收单元收到步骤5中的数据后将该数据提交给原链路接收代理模块；S7：原链路接收代理模块根据预先设置的通道策略信息找到目的主机的地址，并向该目的主机发送连接请求；S8：目的主机收到连接请求后回送响应报文，原链路接收代理模块收到响应报文后建立连接；S9：原链路接收代理模块将步骤6中收到的数据转发给目的主机。为提高安全性，防止网络渗透，上述步骤S5中所述数据的发送是通过采用私有协议栈的私有通道，以阻断标准的TCP/IP协议通信。上述反向通信具体包含以下步骤：S10：目的主机通过反向链路发送数据给上述原链路接收代理模块；S11：原链路接收代理模块根据预先配置的安全策略对数据进行安全性验证，验证通过后将数据发送到反向链路的发送代理模块；S12：反向链路发送代理模块将该数据单向提交给反向链路的单向发送单元；S13：反向链路的单向发送单元通过反向链路将该数据发送出去；S14：反向链路的接收单元接收到该数据后将该数据发送给反向链路的接收代理模块；S15：反向链路的接收代理模块收到该数据后转发给隔离设备原链路的发送代理模块；S16：隔离设备原链路的发送代理模块将该数据发送给源主机。与上述步骤5相同，步骤S13中所述数据的发送是通过采用私有协议栈的私有通道，以阻断标准的TCP/IP协议通信。本专利技术还进一步提出一种实现上述基于光纤通信的双单向隔离交换方法的系统，系统总体采用“4+2”架构，即隔离设备包括4台主机与2条物理单向发送通道。4台主机上分别运行原链路发送代理模块、隔离设备的原链路接收代理模块、反向链路的发送代理模块和反向链路的接收代理模块，2条物理单向发送通道分别对应原链路和反向链路，原链路和反向链路均为单向性。作为优选，上述物理单向发送通道的发送单元和接收单元之间的通信使用单纤+信号模拟技术，使得光纤卡之间即使只插一根光纤也可处于Linked模式，网络接口正常UP。为提升系统的安全性，上述发送单元和接收单元之间的通信使用私有协议栈，以阻断标准的TCP/IP协议通信。与现有技术相比，本专利技术具有以下有益技术效果：1，实现本专利技术方法的系统采用包括包括4台主机与2条物理单向发送通道的隔离设备，源主机和目的主机可经由隔离设备完成原链路的正向通信和反向链路的反向通信，原链路和反向链路均为单向性，互不干扰，安全性能好。2，本专利技术采用了由光模块设计、驱动设计和应用设计决定的单向性链路，收发单元使用单纤+信号模拟技术，使得光纤卡之间即使只插一根光纤也可处于Linked模式。3，通过使用信号模拟技术，支撑协议可完成如速率协商、TCP握手等操作，同时单纤通道内还使用了私有协议栈，进一步提升了安全性。4，中间私有通道由独特设计的私有协议封装实现，终结了标准的TCP/IP协议通信。本专利技术具有单向光闸的安全特性，能够满足在许多工业控制、基础设施安全等领域的应用。附图说明图1为普通光纤通信和单向光纤通信的原理图；图2为基于两条独立单向光纤通信的双单向光闸的通信过程示意图。具体实施方式现结合附图对本专利技术作进一步详细的说明。首先介绍一下基于光纤的单向光闸。如图1所示，普通光纤卡单纤无法工作，通常状况下光纤网卡必须同时插上2根光纤，其接口状态才能UP，网卡收发都有信号时才能够正常使用，TCP协议建立连接必须经过三次握手，需要双向通信，以确认连接，即：1.本文档来自技高网...

【技术保护点】
1.一种基于光纤通信的双单向隔离交换方法，其特征在于，源主机和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信，隔离设备包括原链路发送代理模块、原链路单向发送单元、原链路单向接收单元、原链路接收代理模块、反向链路的发送代理模块、反向链路的单向发送单元、反向链路的接收单元、反向链路的接收代理模块；/n所述正向通信的数据传输过程为：源主机→原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→原链路接收代理模块→目的主机；/n所述反向通信的数据传输过程为：目的主机→原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→原链路的发送代理模块→源主机。/n

【技术特征摘要】
1.一种基于光纤通信的双单向隔离交换方法，其特征在于，源主机和目的主机可经由二者之间的隔离设备完成原链路的正向通信和反向链路的反向通信，隔离设备包括原链路发送代理模块、原链路单向发送单元、原链路单向接收单元、原链路接收代理模块、反向链路的发送代理模块、反向链路的单向发送单元、反向链路的接收单元、反向链路的接收代理模块；
所述正向通信的数据传输过程为：源主机→原链路发送代理模块→原链路单向发送单元→原链路单向接收单元→原链路接收代理模块→目的主机；
所述反向通信的数据传输过程为：目的主机→原链路接收代理模块→反向链路的发送代理模块→反向链路的单向发送单元→反向链路的接收单元→反向链路的接收代理模块→原链路的发送代理模块→源主机。


2.根据权利要求1所述的基于光纤通信的双单向隔离交换方法，其特征在于所述正向通信包含以下步骤：
S1：源主机经过认证并通过后，向隔离设备的原链路发送代理模块发起连接请求；
S2：原链路发送代理模块收到连接请求后向源主机发送响应报文，经过确认后建立连接；
S3：源主机的应用程序开始发送数据给隔离设备的原链路发送代理模块；
S4：原链路发送代理模块对接收到的数据进行合法性验证后提交给原链路单向发送单元；
S5：该原链路单向发送单元通过单向链路将数据发送出去；
S6：原链路单向接收单元收到步骤5中的数据后将该数据提交给隔离设备的原链路接收代理模块；
S7：原链路接收代理模块根据预先设置的通道策略信息找到目的主机的地址，并向该目的主机发送连接请求；
S8：目的主机收到连接请求后回送响应报文，原链路接收代理模块收到响应报文后建立连接；
S9：原链路接收代理模块将步骤6中收到的数据转发给目的主机。


3.根据权利要求2所述的基于光纤通信的双单向隔离交换方法，其特征在于步骤S5中所述数据的发送是通过采用私有协议栈的私有...

【专利技术属性】
技术研发人员：王传林，
申请(专利权)人：江苏深网科技有限公司，
类型：发明
国别省市：江苏;32